Im Zuge der voranschreitenden Digitalisierung gewinnen urbane Datenplattformen (UDP) zunehmend an Bedeutung. Sie sind das R\u00fcckgrat smarter St\u00e4dte und erm\u00f6glichen die Verarbeitung, Analyse und Nutzung unterschiedlichster Daten zur Verbesserung von Prozessen und zur Schaffung ganz neuer Anwendungsf\u00e4lle. Mit der Ver\u00f6ffentlichung der TR-03187 (Technische Richtlinie) des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) werden nun nach verschiedenen Kategorien untergliederte Sicherheitsanforderungen an diese Plattformen gestellt. In diesem Artikel beleuchten wir, was die TR-03187 f\u00fcr Kommunen und Datenplattformanbieter bedeutet und geben Empfehlungen zur effektiven Umsetzung.<\/p>\n
Bei der TR-03187<\/a> handelt es sich um eine neue technische Richtlinie des BSI<\/a>, welche in ihrer ersten Version Ende Februar dieses Jahres ver\u00f6ffentlicht wurde. Die Richtlinie definiert spezifische Sicherheitsanforderungen an urbane Datenplattformen<\/a>. Hiermit soll der Schutz sensibler Daten gew\u00e4hrleistet und das Vertrauen der B\u00fcrgerinnen und B\u00fcrger in digitale L\u00f6sungen gest\u00e4rkt werden. Durch die Anwendung der Richtlinie sollen typische Schw\u00e4chen im Aufbau und Betrieb urbaner Datenplattformen und daraus resultierende Sch\u00e4den vermieden werden.<\/p>\n In einer Zeit, in der Datenschutz und Datensicherheit von gr\u00f6\u00dfter Bedeutung sind, bietet die TR-03187 einen Rahmen f\u00fcr die Entwicklung und den Betrieb von urbanen Datenplattformen. Sie legt Wert auf die sichere Handhabung und Speicherung vertraulicher Informationen. Damit f\u00f6rdert sie das Vertrauen aller Beteiligten in digitale L\u00f6sungen. Wesentliche Aspekte sind die Verschl\u00fcsselung sensibler Daten w\u00e4hrend Transport und Speicherung, strenge Zugriffskontrollen sowie die sorgf\u00e4ltige Verwaltung geheimer Schl\u00fcssel und Zug\u00e4nge. Zudem werden Vorgaben zur \u00bbData Governance\u00ab definiert. Diese regeln den Lebenszyklus gespeicherter Daten und stellen sicher, dass nicht mehr ben\u00f6tigte Informationen rechtzeitig gel\u00f6scht werden. Die Richtlinie adressiert alle Beteiligten, von der Entwicklung bis hin zum Betrieb, und tr\u00e4gt so zu einer vertrauensvollen digitalen Umgebung bei.<\/p>\n Zur besseren Einsch\u00e4tzung, zu welchen sicherheitskritischen Zwecken eine urbane Datenplattform genutzt werden kann, wurden die Anforderungen in drei unterschiedliche Schutzlevel eingeteilt. F\u00fcr Kommunen und Datenplattformanbieter ist es dabei entscheidend, diese Anforderungen zu verstehen und umzusetzen, um die Integrit\u00e4t und Vertraulichkeit der verarbeiteten Daten zu sch\u00fctzen und den stabilen Betrieb der Datenplattform sowie der abh\u00e4ngigen Systeme sicherzustellen. Dieser Artikel soll sowohl Kommunen als auch Datenplattformanbietern als Hilfestellung dienen, indem wir Empfehlungen geben, wie mit der technischen Richtlinie TR-03187 verfahren werden kann.<\/p>\n Nachdem die TR-03187 Ende Februar ver\u00f6ffentlicht wurde, stehen Kommunen vor der Herausforderung, die Richtlinie auf ihre Datenplattformprojekte anzuwenden. Dies betrifft sowohl bestehende als auch zuk\u00fcnftige Datenplattformen. Einige zentrale Empfehlungen f\u00fcr Kommunen haben wir hier gesammelt.<\/p>\n Haben Sie als Kommune bereits eine UDP<\/a> im Einsatz, so treten Sie mit dem Betreiber Ihrer aktuellen Datenplattform in Austausch zur TR-03187 des BSI. Fordern Sie von dem Betreiber eine ganzheitliche und umfassende Bewertung der bestehenden UDP hinsichtlich der Erf\u00fcllung der Richtlinie. Dies hilft Ihnen als Kommune, vorhandene Schwachstellen zu identifizieren und Ma\u00dfnahmen zur Verbesserung zu planen. Des Weiteren l\u00e4sst sich so einfacher identifizieren, welches Schutzlevel Ihre aktuelle UDP erf\u00fcllt und ob dieses den Einsatzzwecken Ihrer UDP gerecht wird.<\/li>\n Setzen Sie aktuell noch keine UDP ein und befinden Sie sich stattdessen im Planungsprozess einer solchen Plattform, sollten Sie bereits in der Konzeptphase das gew\u00fcnschte Schutzlevel Ihrer UDP, entsprechend der TR-03187, mit den technischen Ansprechpartnern diskutieren. So stellen Sie sicher, dass alle Sicherheitsanforderungen von Beginn an ber\u00fccksichtigt und sp\u00e4ter teure Anpassungen vermieden werden. Stellen Sie bei der Planung neuer UDP-Projekte auch sicher, dass die Umsetzung der TR-03187 als verpflichtende Anforderung in Ihren Ausschreibungen deklariert wird. Damit wird gew\u00e4hrleistet, dass alle potenziellen Anbieter die n\u00f6tigen Sicherheitsstandards erf\u00fcllen und Verantwortung f\u00fcr den Schutz der Daten \u00fcbernehmen.<\/li>\n<\/ol>\n Ebenso als Anbieter von Datenplattformen k\u00f6nnen f\u00fcr Sie neue Aufgaben durch die TR-03187 entstehen, da Kommunen verst\u00e4rkt auf die Umsetzung der neuen BSI-Richtlinie f\u00fcr ihre Datenplattformen dr\u00e4ngen werden. Auch werden einige Kommunen den Austausch mit Ihnen suchen, um zu erfahren, inwiefern die im Einsatz befindliche UDP Konformit\u00e4t zur\u00a0 Richtlinie aufweist. Zum einen wird f\u00fcr Sie hieraus die Frage entstehen, welcher Handlungsbedarf f\u00fcr Sie aus der Richtlinie entsteht, zum anderen aber auch, wie Sie bestm\u00f6glich damit umgehen sollten. Zur besseren Bew\u00e4ltigung dieser Anforderungen haben wir hier einige Empfehlungen f\u00fcr Sie als Datenplattformanbieter zusammengetragen.<\/p>\n Zun\u00e4chst ist es ratsam, eine Analyse Ihrer aktuellen Sicherheitskonzepte durchzuf\u00fchren. Vergleichen Sie diese dazu mit den Anforderungen der TR-03187, um anschlie\u00dfend bereits erf\u00fcllte Anforderungen sowie Bereiche mit Verbesserungsbedarf aus dieser Analyse zu identifizieren. Verlinken Sie im n\u00e4chsten Schritt bestehende technische und organisatorische Sicherheitsma\u00dfnahmen (TOMs) mit den Anforderungen der technischen Richtlinie TR-03187. Dies erm\u00f6glicht Ihnen, einen Katalog zu erstellen, der die Anforderungen der technischen Richtlinie mit bereits umgesetzten konkreten Ma\u00dfnahmen verkn\u00fcpft und das erreichte Schutzlevel Ihrer UDP ableiten l\u00e4sst. Um einen detaillierten Plan f\u00fcr die Soll-Situation zu entwickeln, nutzen Sie den erstellten Katalog, um alle bisher nicht ausreichend adressierten Anforderungen der TR-03187 aufzulisten. F\u00fcr diese k\u00f6nnen Sie dann spezifische Ma\u00dfnahmen ableiten, je nachdem, welches Schutzlevel angestrebt wird. Sch\u00e4tzen Sie die Aufw\u00e4nde f\u00fcr die Umsetzung dieser zus\u00e4tzlichen oder angepassten Ma\u00dfnahmen und priorisieren Sie diese zuerst anhand der Risikoeinsch\u00e4tzung, sodass Ma\u00dfnahmen, die besonders risikoreiche L\u00fccken adressieren, zuerst umgesetzt werden. Im n\u00e4chsten Schritt priorisieren Sie innerhalb einer Risikoklasse anhand der Aufwandssch\u00e4tzungen, damit einfach umzusetzende Ma\u00dfnahmen schnellstm\u00f6glich umgesetzt werden. Setzen Sie die Ma\u00dfnahmen entsprechend Ihrer Priorisierung um und dokumentieren Sie den gesamten Prozess, auch bei angepassten und eventuell nicht mehr aktuell genug dokumentierten Ma\u00dfnahmen. Eine saubere Dokumentation ist auch im Hinblick auf den Cyber Resilience Act (CRA)<\/a> von gro\u00dfer Bedeutung. Dies hilft Ihnen, den \u00dcberblick zu behalten und sicherzustellen, dass alle Anforderungen erf\u00fcllt werden sowie der einfacheren Nachweisbarkeit Ihren Stakeholdern gegen\u00fcber. Aufgrund der sehr dynamischen Sicherheitslandschaft sollten Sie Ihre Sicherheitsma\u00dfnahmen regelm\u00e4\u00dfig \u00fcberpr\u00fcfen und anpassen. Eine solche kontinuierliche Verbesserung ist entscheidend, um den sich st\u00e4ndig \u00e4ndernden Bedrohungen und Anforderungen gerecht zu werden und Sicherheitsschw\u00e4chen stetig zu reduzieren. Insbesondere auch bei der Weiterentwicklung der UDP hilft eine regelm\u00e4\u00dfige \u00dcberpr\u00fcfung, etwaige L\u00fccken durch die neue Kombination von Technologien zu vermeiden.<\/li>\n Um die Erf\u00fcllung der TR-03187 objektiv zu \u00fcberpr\u00fcfen, lassen Sie Ihre UDP von neutralen Gutachtern bewerten. Ergebnisse einer solchen \u00dcberpr\u00fcfung k\u00f6nnen auch zur Bewerbung Ihrer L\u00f6sungen genutzt werden, und externe Validierungen k\u00f6nnen das Vertrauen in Ihre Plattform erh\u00f6hen.<\/li>\n<\/ol>\n In der TR-03187 wird auch auf den IT-Grundschutz des BSI<\/a> verwiesen, welcher die Integration bew\u00e4hrter Sicherheitsstandards in den Betrieb urbaner Datenplattformen f\u00f6rdert. Um die IT-Systeme und Prozesse von Kommunen abzusichern, bietet der IT-Grundschutz eine umfassende Methodik zur Gew\u00e4hrleistung der IT-Sicherheit.<\/p>\n Zur besseren Adressierung und gezielten Anpassung von Sicherheitsanforderungen an die spezifischen Bed\u00fcrfnisse von Organisationen eignen sich die verschiedenen Schutzlevel des BSI. <\/a>Der\u00a0Weg in die Basis-Absicherung (WiBA<\/a>)<\/strong>\u00a0stellt den Einstieg in den IT-Grundschutz des BSI dar und\u00a0bietet insbesondere kleineren Kommunen eine praxisnahe M\u00f6glichkeit, grundlegende Sicherheitsma\u00dfnahmen umzusetzen.<\/p>\n Diese Unterst\u00fctzung erleichtert den ersten Schritt zur IT-Sicherheit durch praxisorientierte Checklisten und Pr\u00fcffragen und legt ein solides Fundament f\u00fcr die Informationssicherheit. Die Basis-Absicherung ist darauf ausgelegt, Organisationen in der Anfangsphase der Informationssicherheit zu helfen, indem sie einfache, priorisierte Ma\u00dfnahmen zur Verf\u00fcgung stellt, die leicht implementiert werden k\u00f6nnen.<\/p>\n Auf der Basis-Absicherung aufbauend, bietet das\u00a0IT-Grundschutz-Profil \u00bbBasis-Absicherung Kommunalverwaltung\u00ab<\/a>\u00a0<\/strong>eine spezifische Anpassung an die Bed\u00fcrfnisse von Kommunen. Dieses Profil stellt sicher, dass grundlegende Sicherheitsma\u00dfnahmen etabliert werden, die auf die besonderen Anforderungen und Gegebenheiten von kommunalen Verwaltungen zugeschnitten sind. Es erm\u00f6glicht den Kommunen, ein solides Fundament f\u00fcr ihre Informationssicherheit zu schaffen, auch wenn sie bislang nicht alle Anforderungen f\u00fcr eine Zertifizierung nach ISO 27001 erf\u00fcllen.<\/p>\n Die\u00a0Basis-Absicherung\u00a0<\/strong>nach dem BSI ist f\u00fcr Organisationen in der Anfangsphase der Informationssicherheit gedacht, die kein erh\u00f6htes Risiko f\u00fcr ihre Prozesse haben. Sie erm\u00f6glicht es, grundlegende Sicherheitsma\u00dfnahmen schrittweise umzusetzen. Zun\u00e4chst wird der Anwendungsbereich festgelegt, gefolgt von der Identifikation und Priorisierung relevanter Bausteine. F\u00fcr die Priorisierung und die eigentliche Umsetzung der Basisanforderungen dieser Bausteine wird das IT-Grundschutz-Kompendium<\/a>zurate gezogen, das standardisierte Anforderungen zur Informationssicherheit bereitstellt. Geringf\u00fcgige Sicherheitsvorf\u00e4lle werden in diesem Rahmen als akzeptabel angesehen.<\/p>\n Die Standard-Absicherung<\/strong>\u00a0hingegen zielt auf eine umfassende Absicherung aller Prozesse und Bereiche einer Organisation ab. Hierbei wird zun\u00e4chst der Geltungsbereich festgelegt, gefolgt von einer Analyse des Ist-Zustands und der Feststellung des Schutzbedarfs, wobei hierbei wieder das IT-Grundschutz-Kompendium genutzt wird. Die Standard-Absicherung ist dabei kompatibel mit einer ISO 27001-Zertifizierung. Diese Vorgehensweise erfordert eine strukturierte Planung und Umsetzung, um die IT-Sicherheit auf ein h\u00f6heres Niveau zu heben.<\/p>\n F\u00fcr Organisationen, die sich zun\u00e4chst auf die Absicherung besonders gef\u00e4hrdeter Gesch\u00e4ftsprozesse konzentrieren m\u00f6chten, bietet sich die\u00a0Kern-Absicherung<\/strong>\u00a0an. Diese Vorgehensweise erm\u00f6glicht es, gezielt existenziell wichtige Assets zu sch\u00fctzen, w\u00e4hrend kleinere, nicht existenzbedrohende Sicherheitsvorf\u00e4lle als vorerst akzeptabel gelten. Die Kern-Absicherung erfordert einen Soll-Ist-Vergleich zwischen den im IT-Grundschutz-Kompendium definierten und den bereits umgesetzten Anforderungen, um Schwachstellen zu identifizieren und geeignete Ma\u00dfnahmen zur Schlie\u00dfung dieser L\u00fccken zu ergreifen.<\/p>\n Durch die Umsetzung eines dieser Schutzlevel k\u00f6nnen Kommunen nicht nur die Anforderungen des gew\u00e4hlten Schutzlevels erf\u00fcllen, sondern ihre Sicherheitsma\u00dfnahmen auch strategisch ausrichten und zukunftssicher gestalten. Dennoch ist diese Umsetzung aufwendig. Eine strukturierte Herangehensweise an die IT-Sicherheit ist somit entscheidend f\u00fcr den Schutz sensibler Daten sowie die Gew\u00e4hrleistung der Resilienz kommunaler Infrastrukturen.<\/p>\n Mit der TR-03187 hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik einen ersten Schritt in Richtung mehr Sicherheit f\u00fcr urbane Datenplattformen gemacht. Indem Sie als Kommune oder Datenplattformanbieter die Richtlinie konsequent verfolgen und aktiv umsetzen, k\u00f6nnen Sie dazu beitragen, das Vertrauen der B\u00fcrgerinnen und B\u00fcrger in digitale L\u00f6sungen zu st\u00e4rken. Zuk\u00fcnftige Weiterentwicklungen der technischen Richtlinie durch das BSI sowie klare Beispiele und Abgrenzungen zu weiteren existierenden Dokumenten w\u00e4ren w\u00fcnschenswert, um die Umsetzung der Richtlinie durch Kommunen wie auch Datenplattformanbieter zu erleichtern.<\/p>\n Letztlich bringt die TR-03187 zwar Herausforderungen bei der Umsetzung mit sich, ist aber als eine gro\u00dfe Chance f\u00fcr Kommunen und Anbieter zu sehen. Eine effektive Umsetzung kann dazu beitragen, die Sicherheitsstandards im kommunalen Umfeld zu erh\u00f6hen und ist damit die Grundlage f\u00fcr innovative und sichere L\u00f6sungen im Bereich der urbanen Datenplattformen. Dadurch erh\u00f6hen Kommunen weiter ihre Resilienz durch effiziente, datengetriebene Prozesse unter Wahrung ihrer digitalen Souver\u00e4nit\u00e4t.<\/p>\n Nach Ver\u00f6ffentlichung der neuen DIN SPEC 91377<\/a> sollte die technische Richtlinie mit den dortigen Anforderungen abgeglichen und gegebenenfalls angepasst werden. Dies ist besonders auch in Hinblick auf die Architektur urbaner Datenplattformen relevant. Des Weiteren sollte der Gestaltungsspielraum bei der Umsetzung der Anforderungen reduziert und konkrete Beispiele in die Richtlinie aufgenommen werden. Insbesondere Ausdr\u00fccke wie \u00bbregelm\u00e4\u00dfig\u00ab, \u00bbkurzlebig\u00ab oder \u00bbentsprechend restriktiv\u00ab sollten in ihrer Ausgestaltung klarer definiert werden. Ein Mapping zwischen dem \u00bbWeg in die Basis-Absicherung\u00ab, dem \u00bbBSI-Grundschutz\u00ab und den \u00bbSicherheitsanforderungen an urbane Datenplattformen\u00ab w\u00e4re hilfreich. Dies w\u00fcrde Implementierungsprozess vereinfachen und die Einhaltung von Sicherheitsstandards f\u00f6rdern.<\/p>\nWas sollte ich als Kommune nun tun?<\/h2>\n
Zentrale Empfehlungen f\u00fcr Kommunen zur Umsetzung von TR-03187<\/h3>\n
\n
Bestandsaufnahme bestehender UDP<\/h4>\n
Integration in neue Projekte<\/h4>\n
\n<\/strong><\/li>\nAusschreibungen entsprechend gestalten<\/h4>\n
Herausforderungen durch TR-03187 f\u00fcr Datenplattformanbieter<\/h2>\n
Zentrale Empfehlungen f\u00fcr Datenplattformanbieter zur Umsetzung von TR-03187<\/h3>\n
\n
Ist-Analyse durchf\u00fchren<\/h4>\n
\n<\/strong><\/li>\nVerkn\u00fcpfung von Sicherheitsma\u00dfnahmen<\/h4>\n
\n<\/strong><\/li>\nPlanung der Soll-Situation<\/h4>\n
\n<\/strong><\/li>\nImplementierung und Dokumentation<\/h4>\n
\n<\/strong><\/li>\nRegelm\u00e4\u00dfige \u00dcberpr\u00fcfung und Anpassung<\/h4>\n
Externe Evaluierung<\/h4>\n
Integration der TR-03187 mit dem BSI IT-Grundschutz f\u00fcr optimale Sicherheit<\/h2>\n
Ziele des BSI IT-Grundschutz<\/h3>\n
Verbindung zwischen TR-03187 und BSI IT-Grundschutz<\/h4>\n
Praktische Umsetzung des IT-Grundschutz in urbanen Datenplattformen<\/h4>\n
Vorteile der Anwendung des BSI IT-Grundschutz<\/h4>\n
Verschiedene Absicherungslevels des BSI IT-Grundschutz und deren Nutzen<\/h4>\n
Wesentliche Erkenntnisse zur TR-03187 f\u00fcr Kommunen und Anbieter<\/h2>\n
Ausblick<\/h2>\n
Mehr zum Thema Smart City und urbane Datenplattformen<\/h3>\n
\n
\nVon der Idee bis zur Umsetzung: Entscheidungshilfen f\u00fcr Kommunen<\/li>\n
\nSo k\u00f6nnen Kommunen handeln<\/li>\n
\n<\/a>Wir unterst\u00fctzen bei der Analyse, der Planung bis hin zur Implementierung<\/li>\n
\nUnd warum eine Digitale Plattform nicht der erste Schritt sein darf!<\/li>\n<\/ul>\n